Target 数据泄露(2013):HVAC供应商成为入侵跳板
第三方访问控制失效的代价:1.1亿条客户记录
关联指南: 供应链安全合规审核指南 · 适用行业: 零售、消费品
事件概述
2013年11月27日至12月15日(感恩节至圣诞节购物旺季),黑客通过 Target 的暖通空调(HVAC)供应商 Fazio Mechanical Services 的凭证,侵入 Target 的支付系统,窃取了约4,000万张信用卡/借记卡数据,以及7,000万条客户个人信息(姓名、地址、电话、邮件)。这是当时美国零售业史上最大的数据泄露事件。
攻击链重建
攻击者 → 网络钓鱼邮件 → Fazio 员工电脑感染
↓
窃取 Fazio 登录凭证(Target 供应商门户)
↓
通过供应商VPN接入 Target 网络
↓
在 Target 内网横向移动(POS 系统与HVAC系统共用同一网络)
↓
部署内存刮取恶意软件(RAM scraper)至 POS 终端
↓
实时窃取刷卡数据 → 上传至攻击者控制服务器关键漏洞
| 漏洞 | 描述 |
|---|---|
| 网络分段缺失 | HVAC 监控系统与 POS 支付系统同处一个内网,没有隔离 |
| 第三方权限过度 | Fazio 账户拥有的网络访问权限远超 HVAC 监控所需 |
| 安全告警被忽略 | FireEye 告警系统在攻击进行中多次发出告警,安全团队未采取行动 |
| 凭证未实施MFA | 供应商使用单一用户名/密码访问,无多因素认证 |
| Fazio 自身安全薄弱 | Fazio 使用了一款免费版防病毒软件,无法检测此类网络钓鱼攻击 |
事后影响
| 影响类别 | 数据 |
|---|---|
| 直接和解费用 | 1.485亿美元(与各州检察长和金融机构) |
| Target CEO 辞职 | Gregg Steinhafel,2014年5月 |
| CIO 辞职 | Beth Jacob,2014年3月 |
| 股价下跌 | 事件后季度股价下跌约11% |
| 假日季销售损失 | 估计超过10亿美元 |
| PCI DSS 整改 | 全面升级 POS 系统至加密读卡器(EMV芯片卡标准) |
第三方访问控制改革
事后,Target 和整个零售行业推行了一系列改革:
网络架构:
- 强制实施网络分段(支付系统与其他系统物理/逻辑隔离)
- 第三方访问只能进入专用的隔离网络(DMZ),不得直接访问内网
- 实施零信任架构(Zero Trust):默认不信任,最小权限原则
第三方管理:
- 所有供应商访问须实施多因素认证(MFA)
- 特权访问管理(PAM):第三方账户由 PAM 系统统一托管,访问有时限
- 供应商安全评估纳入采购标准(要求提交 SOC 2 报告或通过问卷评估)
对审核实践的启示
第三方供应商网络访问审核检查点
在对依赖第三方供应商进行设备维护、远程访问的企业进行安全审核时:
必须询问的问题:
- 第三方供应商通过什么方式访问您的内部网络?VPN?远程桌面?
- 供应商账户是否实施了多因素认证?
- 供应商账户的访问权限是否基于最小权限原则(只能访问其服务所需的系统)?
- 是否记录并审计第三方访问日志?保留期多长?
- 供应商自身的网络安全能力是否经过评估(问卷/认证/渗透测试报告)?
网络架构审查:
- 要求提供网络拓扑图,确认支付系统/核心系统与第三方访问节点之间存在隔离
- 询问是否部署了网络流量异常检测(NDR/SIEM)
- 检查安全告警处理流程:收到告警后的响应SLA是多少?
延伸阅读
- US Senate Commerce Committee: A "Kill Chain" Analysis of the 2013 Target Data Breach (2014)
- Krebs on Security: Target Hackers Broke in Via HVAC Company (2014)
- PCI Security Standards Council: Third-Party Security Guidance
- NIST: Cybersecurity Supply Chain Risk Management (SP 800-161)